"Klanten 'superveilige' webmailprovider zijn idioten"
Klanten van de Amerikaanse e-mailprovider StrongWebMail zijn volslagen idioten, zegt beveiligingsexpert Robert Graham. Het bedrijf organiseerde onlangs een wedstrijd, waarbij het hackers uitdaagde om de beveiliging te kraken. Een groep hackers wist uiteindelijk binnen te komen, waarop de provider besloot om een nieuwe wedstrijd te organiseren. Dit keer zou er alleen naar het sterkste gedeelte van de beveiliging gekeken mogen worden.
Volgens Graham snapt het bedrijf echter niets van beveiliging. Het lek dat gebruikt werd om het systeem te kraken was niet bijzonder, maar juist het meest voorkomende lek in webapplicaties. Het werd al meer dan tien jaar geleden gebruikt voor het kraken van webmail applicaties." Alle webmail providers zouden dit soort lekken binnen uren kunnen oplossen en niet hoeven te wachten totdat een andere organisatie het oplost, zoals met StrongWebmail het geval is. "Dit is hetzelfde als het adverteren dat je elite commando's hebt om de voordeur van je bank te beschermen, terwijl je de achterdeur openlaat. Geen enkele bank heeft commando's, maar ook geen enkele bank laat zijn achterdeur open."
De beveiligingsexpert merkt op dat het niemand iets kan schelen hoe sterk je sterkste feature is. "Waar mensen zich druk om maken, is de sterkte van je zwakste feature. Als je het hiermee vergelijkt, is StrongWebmail minder veilig dan elk ander mailsysteem en ben je een idioot als je erop vertrouwt. Het maakt niet uit hoe sterk hun sterkste schakel is als ze zoveel zwakke schakels hebben."
Ik probeer echt geen flamewar te starten, maar zit nu wel te denken aan MS vs. Linux. Beide systemen moeten steeds updates brengen omdat er openingen worden gevonden, dat is ook normaal, je kan niet alles in 1 keer goed maken. Maar ik merk wel dat MS steeds hun "sterke" punten gaat patchen en de achterdeur open laat staan of te weinig aandacht voor heeft, terwijl bij (veel) Linux distro's de achterdeur moeilijker te vinden is en er ook aandacht aan word besteed om deze op slot te krijgen.
Van mij mag Linux best een beetje obscuur blijven voor het grote publiek, en zeker niet te commercieel worden. Dan draai ik tenminste op een leuk OS zonder al te veel problemen.
Nee dan heb je blijkbaar een flink gebrek aan gekwalificeerd personeel..... en ben je een heeel klein beetje publiciteits geil.
(http://www.security.nl/artikel/29540/1/Gehackte_provider_daagt_hackers_opnieuw_uit.html)
In het gelinkte artikel zie ik staan: "you would be a fool to rely on it." Dat komt overeen met het Nederlandse "het zou dom zijn om erop te vertrouwen", en niet met "je bent een volslagen idioot".
Toen ik het bericht hierboven las vroeg ik me af wat die Robert Graham voor een botte, arrogante idioot was. Toen ik het gelinkte artikel las vond ik het lang niet zo beledigend klinken. Kan de auteur van de Nederlandse tekst zich alsjeblieft even achter de oren krabben en zich afvragen of hij/zij wel goed bezig is, of linken naar uitspraken van Robert Graham die inderdaad zo beledigend zijn voor mensen die toevallig een andere specialiteit hebben dan het beveiligen van computersystemen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.